پس از هشدار یک کارشناس امنیت سایبری درباره یک حفره امنیتی به مرکز ماهر، اعلام شد که اطلاعات کاربران شرکت حملونقل اینترنتی تپسی لو رفتهاست.
منبع : تابناک
پس از هشدار یک کارشناس امنیت سایبری درباره یک حفره امنیتی به مرکز ماهر، اعلام شد که اطلاعات کاربران شرکت حملونقل اینترنتی تپسی لو رفتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، صبح روز پنج شنبه خبری از آسیبپذیری امنیتی یک شرکت حملونقل اینترنتی بر سر زبانها افتاد. گفتهمیشد که اطلاعات کاربران و رانندگان این شرکت در خطر افشا شدن هستند.
بر اساس این خبرها، صدها هزار صورتحساب مربوط به یک شرکت حملونقل اینترنتی در ایران بهدلیل امنیت پایین بانک داده آن لو رفتهاست. صورتحسابهای لورفته شامل اطلاعات شخصی، ازجمله نام، نامخانوادگی، شماره ملی و تاریخ صورتحسابها بود.
ولادیمیر دیاچنکو، کارشناس امنیت سایبری، در جستوجوهایش روی بانکهای دادهای که دسترسی عمومی به آنها وجود دارد، متوجهمیشود که اطلاعات بانک داده یک شرکت حملونقل بهطور عمومی در دسترس است.
پس از اعلام این موضوع از طرف دیاچنکو و تماس او با مرکز ماهر، مسئول امداد و هماهنگی در وقایع سایبری در ایران، امنیت اطلاعات بانک داده افشاشده برقرار شد. وزیر ارتباطات هم آسیبپذیری اطلاعات یک شرکت حملونقل را تایید کرده و از پیگیری ماجرا توسط مرکز ماهر خبر داد. ولادیمیر دیاچنکو گفت که اطلاعات مورد اشاره سه روز بهطور عمومی روی اینترنت در دسترس بودهاست. به گفته او ۶.۷ میلیون مدخل اطلاعاتی در دسترس بودند که بهدلیل تکراری بودن برخی از مدخلها در مجموع بین یک تا دو میلیون صورتحساب در بانک داده مذکور وجود داشته که به سالهای ۱۳۹۵ و ۱۳۹۶ برمیگردند.
دیاچنکو همچنین گفت این امکان وجود دارد که بانک داده لو رفته در واقع بانک داده شرکت حملونقل اینترنتی نباشد، بلکه بزهکاران سایبری اطلاعاتی را از یک شرکت دزدیده و در ذخیره آن بیاحتیاطی کردند.
ولادیمیر دیاچنکو، کارشناس امنیت سایبری در جستوجوهایش روی بانکهای دادهای که دسترسی عمومی به آنها وجود دارد، متوجه میشود که اطلاعات بانک داده یک شرکت حملونقل بهطور عمومی در دسترس است.
پیشتر هر دو شرکت اسنپ و تپسی لو رفتن اطلاعات رانندگانشان را تکذیب کردهاند. تپسی سپس در بیانیهای دیگر گفت که هکرهایی با آدرس آیپی از کشور اوکراین به یکی از سرورهای آن نفوذ کردند و «سیستمهای پیشرفته حفاظتی» اجازه نفوذ بیشتر را به آنها ندادند.
این شرکت همچنین در بیانیهاش گفت که با «محدودیتهای ناشی از تحریمهای فناوری» مواجه بودهاست. هرچند اشاره نکردهاست که تحریمهای ادعایی چه ارتباطی با نشت اطلاعات رانندگانش دارد: «با بررسی دقیقتر موضوع، تیم امنیت تپسی متوجه تلاش برای تعدادی نفوذ با منشاء خارجی به سرورهای این شرکت شد که فقط یکی از سرورهای جانبی مورد نفوذ هکرها با آدرس آیپی متعلق به کشور اوکراین قرار گرفتهاست که فاکتورهای ۶۰هزار راننده فعال جهت حسابرسی مالیاتی در سالهای ۹۵ و ۹۶ روی آن نگهداری میشدند. سیستمهای پیشرفته حفاظتی تپسی اجازه نفوذ بیشتر به سرورهای اصلی را ندادهاند. منشا و هدف اصلی این نفوذ خارجی برای تپسی مشخص نیست و همکاری تیم امنیت تپسی با پلیس فتا و مرکز ماهر در این زمینه ادامه دارد.»
نکته مهم اینجاست که تپسی تعداد رانندگانی را که اطلاعات آنها در فاکتورهای سال ۹۵ و ۹۶ وجود داشته ۶۰ هزار نفر بیان کردهاست؛ چراکه تعداد افرادی که اطلاعاتشان بهدلیل وجود آسیبپذیری امنیتی در معرض خطر بوده، روز گذشته محل بحث بود.
باب دیاچنکو، پژوهشگر امنیتی شرکت Security Discovery، اعلام کردهبود که حدود ۶.۸ میلیون فاکتور در این دیتابیس وجود دارد، اما این اطلاعات مربوط به سفرهای انجامشده است و نمیتوان دقیقاً گفت که اطلاعات چه تعدادی راننده در معرض خطر بودهاست. اما حالا تپسی این عدد را ۶۰ هزار نفر اعلام کردهاست. در دیتابیس آسیبپذیر، اطلاعاتی مانند نام و نامخانوادگی راننده، کد ملی ۱۰ رقمی، شماره موبایل و همچنین تاریخ تراکنش وجود داشته است.
از سوی دیگر تپسی در بیانیهاش خبر از تلاش برای نفوذ به سرورها و هک اطلاعات میدهد در حالی که پژوهشگر امنیتی Security Discovery، اعلام کردهبود که این دیتابیس از نوع مانگودیبی را از طریق موتور جستوجوی BinaryEdge کشف کرده و از همان زمان هم تلاش داشته تا اطلاعات را برای مرکز ماهر ایران ارسال کند. با این حال به نظر میرسد که تپسی همچنان عقیده دارد که یکی از سرورهای جانبی مورد نفوذ قرار گرفتهاست.
اطلاعات ۶۰ هزار راننده فعال در تپسی به شکل عمومی منتشر نشدهاست. به شکل خلاصه، یکی از دیتابیسهای جانبی تپسی آسیبپذیر و رمزگذارینشده بود. یک کارشناس امنیتی این آسیبپذیری را با استفاده از یک موتور جستوجوی مخصوص کشف میکند و سپس تلاش میکند با مرکز ماهر و اسنپ و تپسی تماس بگیرد تا مشکل را حل کنند. در واقع خطر انتشار عمومی این دیتابیس وجود داشتهاست. آنطور که همین پژوهشگر امنیتی میگوید مشکل اکنون حل شده و دیتابیس امن است. در حال حاضر نیز به نظر میرسد تنها کسانی که به دیتابیس ۶۰ هزار راننده فعال تپسی دسترسی دارند، خود پژوهشگر امنیتی، پلیس فتا و مرکز ماهر باشند.
بیانیه منتشر شده از سمت شرکت تپسی به شرح زیر است: پس از این واقعه محمدجعفر نعناکار، مدیرکل حقوقی سازمان فناوری اطلاعات ایران، در مصاحبهای گفت: اگر لایحه صیانت از دادههای شخصی که نزدیک پنجماه است در کمیسیون فرعی هیئت دولت مطرح شده، زودتر تصویب شود، قطعا از پیش آمدن مسائل این چنین جلوگیری خواهدکرد. ما در این مورد با چند چالش روبهرو هستیم که مدتهاست از سوی حقوقدانهای حوزه آیتی پیگیری میشود. سازمان فناوری اطلاعات ایران و مراکز دیگر، پیگیر این مسئله هستند اما برای رسیدن به نتیجه، نیاز است سازمانهای مختلف به شکل جمعی به این مسئله ورود کنند.
نعناکار با اشاره به این مسئله که تاکسیهای اینترنتی در ایران همواره با مشکل مجوز روبهرو هستند، گفت: سوال اصلی این است که تاکسیهای اینترنتی باید از چه نهادی مجوز دریافت کنند؟ چیزی که قانون در باب حوزه تاکسیهای اینترنتی مطرح میکند این است که سازمان تاکسیرانی باید مجوز فعالیت آنها را صادر کند.
وی افزود: هر نوع عملیات درون شهری که قرار است اتفاق بیفتد باید از سوی سازمان تاکسیرانی مورد بررسی قرار بگیرد و ممیزیهای لازم در خصوص رانندگان، شیوه کار و پلتفرم اعمال شود. در واقع موضوع اصلی بحث در این حوزه، پلتفرمها هستند که نقصهای جدی متوجه آنهاست.
این کارشناس حقوقی ادامه داد: از آن جایی که پلتفرمهای ارائه خدمات تاکسی اینترنتی اطلاعات راننده، بخشی از اطلاعات مسافر و نیز آدرسهای افراد را دریافت و ضبط میکنند، نیاز است که روی شیوه کار آنها بررسیهایی صورت بگیرد، بررسیهایی که موجب میشود هم امنیت این دادهها حفظ و هم کارکرد نرمافزارها تایید شود.
مدیرکل حقوقی سازمان فناوری اطلاعات با اشاره به این که مراکزی در ایران هستند که روی این مسائل کار میکنند، افزود: سازمان «افتا» که کار اصلی آن صدور گواهیهای امنیت است و شورای عالی انفورماتیک سابق (در حال حاضر وظایف آن به سازمان فناوری اطلاعات ایران منتقل شده) که تاییدیه فنی نرمافزارها را صادر میکند و همینطور سازمان نظام صنفی رایانهای کشور که به این پلتفرم ها گواهی فعالیت میدهد، مجموعههایی هستند که روی چنین مسائلی کار میکند.
وی افزود: اگر نهادهای مرتبط همکاری لازم را انجام دهند و با یکدیگر برای صیانت از مردم همکلام شوند، اتفاقات خوبی رخ خواهد داد. در حال حاضر طبق اخبار منتشرشده، نزدیک هفت میلیون رکورد لو رفتهاست و به نظر من این فاجعه امنیتی در حوزه دادههای شخصی است.
نعناکار این مسئله اشاره کرد که باید دادستانی به موارد اینچنین ورود کند: دادستانی باید به عنوان مدعیالعموم زودتر از بقیه به مسائل این چنین ورود کند. این طور نباشد که یک خبری پخش شود و بعد از چند ساعت و چند روز منتظر واکنش این دستگاه باشیم.
نکته مهم این است که اگر فعالیتی نیز صورت بگیرد مردم آن را حس نمیکنند، ممکن است میان دستگاهها نامه و دستوری ردوبدل شود، اما مردم متوجه این پیگیریها نمی شوند. در حالی که آنها اولین کسانی هستند که باید بدانند نهاد و مجموعهای برای صیانت از دادههای شخصی آنها قدم برداشته و به این واسطه امنیت روانیشان تضمین شود.
مدیر کل حقوقی سازمان فناوری ایران در پایان گفت: در موضوع این آسیبپذیری امنیتی، احتمالا عمدی در بین نبوده و صرفا قصوری رخ دادهاست، اما به هر حال این مسائل باید شناسایی و اقدامات قضایی در خصوص آن صورت بگیرد.